我们所处的是一个数字化的时代,随着数据量的日益増大,高防服务器对各种技术的应用也在持续扩张,呈爆炸式增长的数据在网络中流动。在这种情况下,假如没有适当的安全机制,那么每个网络就都可以和其他网络相互访问,而无法对合法的访问行为和非法的访问行为进行任何区分。
控制网络访问的基本步骤之一,就是在网络内控制数据流量。而实现这个目标的方法之一,就是使用访问控制列表(常称作ACL)。ACL不仅简便高效,而且在所有主流 Cisco产品上都可以使用。
主要讨论如何在 Cisco IOS和其他设备上应用和配置ACL来实现流量过滤。除此之外,本章还对IP地址、IP分类、子网及掩码进行了简要的介绍。
使用ACL进行流量过滤
Cisco IOS具有限制流量流入式流出网络的功能,因为它为ACL提供了流量过滤功能。使用ACL有时也称为过滤,这是因为ACL可以通过放行和拒绝网络访问的方式,对流量进行控制。
1、ACL概述
ACL通过放行和拒绝语句控制网络访问,以此实现安全策略,它是端到端安全解决方案的必要组成部分。然而,在实施公司安全策路时,除了ACL之外,诸如防火墙、加密与认证、入侵检测与防御解决方案等产品和技术也同样必不可少。
ACL可以应用于很多场合,其中最为常见的是以下情形。
1.过滤邻居设备间传递的路由信息。
2.控制交互访问,以此阻止非法访问设备的行为一一例如对 Console接口、 Telnet或SSH访问实施控制。
3.控制穿越设备的流量和网络访问。
4.通过限制对路由器上菜些服务的访问来保护路由器,比如HTP(超文本传输协议)、SNMP(简单网络管理协议)及NTP(网络时间协议)等。
5.为DDR(按需拨号)路由定义感兴趣流。
6.为 Psec VPN定义感兴趣流。
7.能够以多种方式在1OS中突现Q0S(服务质量)特性
8.在其他安全技术中的扩展应用(比如TCP拦截和IOS防火墙)。
ACL可以为所有访问和穿越网络的流量提供基本的安全保障。如果不配置ACL,所有穿过路由器的数据包都可以进入网络的各个部分中。
比如,ACL可以允许一台主机访问 Internet,同时却阻止其他主机对Internet的访问。如图1所示,主机A可以访问 Internet上的资源,同时主机B的访问就会被拒绝。ACL也可以在路由器接口判断哪些类型的流量应该放行,哪些类型的流量则需要阻塞。比如,它可以放行所有HTP流量,同时阻塞FTP流量。当然,这些只是最简单的例子,比它们复杂得多的案例也可以通过ACL来实现。
2、何时配置ACL
那些配置在设备上的ACL可以作为网络的第一道防线。实现这道防线的方法是将ACL部署在内网(受保护的区域)和外网(不受保护的区域如 Internet)之间的路由器、交换机或防火墙上。另外,也可以将ACL部署在位于同一网络两部分之间的设备上,通过这种方式可以控制出入网络某个部分的流量。另一种应用ACL的场合是过滤某台设备出方向或入方向的流量,就同时对出/入的流量实施过滤。定义ACL应该针对特定的协议及特定的端口/源/目的地址,这样才能针对不同的流量实现更加精确的访问控制。
上一篇:服务器的NFS原理是怎样的呢?
本文链接:http://www.gkidc.com/news/jkxy/478.html
所属栏目:极客学院
【本文由极客网络发布;内容来源于互联网或原创,转载联系作者并注明出处:投稿请发至邮箱 layton@zhi-yue.net 】